Agent Okta zamieszany w naruszenie zasad MGM Resorts – twierdzą napastnicy

Uwaga: ta historia została zaktualizowana i zawiera komentarze dyrektora ds. bezpieczeństwa Okta, Davida Bradbury'ego.

Przestępcy uważani za odpowiedzialnych za zeszłotygodniowe cyberataki na MGM Resorts i Caesars Entertainment twierdzą teraz, że udało im się złamać systemy MGM, w jakiś sposób włamując się do firmowej platformy Okta, a konkretnie do Okta Agent, czyli lekkiego klienta łączącego się z Active Directory organizacji.

Okta to popularny dostawca usług zarządzania tożsamością i dostępem (IAM). dla chmury.

„MGM podjęła pochopną decyzję o zamknięciu wszystkich swoich serwerów Okta Sync po tym, jak dowiedziała się, że czailiśmy się na ich serwerach Okta Agent, wąchając hasła osób, których haseł nie można złamać za pomocą zrzutów skrótów ich kontrolerów domeny” – ALPHV – napisał na stronie wycieku w oświadczeniu badacz Emsisoftu Brett Callow Tweety na zewnątrz. „Skutkowało to całkowitym wypadnięciem ich Okty.”

W oświadczeniu ALPHV dodano, że po jednodniowym czaieniu się w pobliżu Okty i zdobyciu haseł, grupa zagrażająca przeprowadziła 1,000 września cyberataki ransomware na ponad 11 hiperwizorów ESXi: „… po próbie nawiązania kontaktu [z MGM], ale bezskutecznie, ” – napisano w oświadczeniu.

Grupa zajmująca się oprogramowaniem ransomware dała jasno do zrozumienia, że ​​MGM Resorts nie negocjuje z nimi i grozi dalszymi działaniami, jeśli nie zostanie osiągnięte porozumienie finansowe.

„Nadal mamy dostęp do części infrastruktury MGM” – stwierdzono w oświadczeniu ALPHV. „Jeśli porozumienie nie zostanie osiągnięte, przeprowadzimy dodatkowe ataki”. Grupa oświadczyła również, że udostępni wydobyte dane Troyowi Huntowi z Have I Been Pwned, aby w sposób odpowiedzialny ujawnił je, jeśli zdecyduje się to zrobić.

ALPHV (aka BlackCat) to nazwa operatora oprogramowania ransomware jako usługi (RaaS), który udostępnił grupa zagrożeń Rozproszony Pająk ze złośliwym oprogramowaniem i usługami wsparcia w celu usunięcia cyberataki na kasyno.

Sierpniowe ostrzeżenie Okty o atakach wykorzystujących inżynierię społeczną

Dyrektor ds. bezpieczeństwa Okta, David Bradbury, potwierdza, że ​​cyberatak na MGM zawierał elementy socjotechniki, ale dodaje, że był skuteczny, ponieważ cyberprzestępcy byli na tyle wyrafinowani, aby wdrożyć w systemie Okta własnego dostawcę tożsamości (IDP) i bazę danych użytkowników.

„Część ludzka była prosta, ale późniejsza część ataku była złożona” – mówi.

Możliwość tworzenia wielu podgrup tożsamości jest cechą systemu Okta, a nie wadą – dodaje Bradbury. Sugeruje dodanie etapu weryfikacji wizualnej w centrum pomocy tylko dla użytkowników z najwyższymi uprawnieniami dostępu, co powstrzymałoby te cyberataki.

Okta ostrzegała potencjalnych ataków socjotechnicznych tego typu za pomocą alertu z 31 sierpnia szczegółowo opisującego próby uzyskania przez systemy Okta wysoce uprzywilejowanego dostępu za pomocą socjotechniki.

„W ostatnich tygodniach wielu klientów Okta z siedzibą w USA zgłosiło spójny wzorzec ataki socjotechniczne na personel działu obsługi IT, w ramach której strategia dzwoniącego polegała na przekonaniu personelu działu obsługi klienta do zresetowania wszystkich czynników uwierzytelniania wieloskładnikowego (MFA) zarejestrowanych przez wysoce uprzywilejowanych użytkowników” – ostrzegła Okta. „Napastnicy wykorzystali następnie włamanie na wysoce uprzywilejowane konta superadministratora Okta, aby nadużyć legalnych funkcji federacji tożsamości, które umożliwiły im podszywanie się pod użytkowników w zaatakowanej organizacji”.

Okta również wypowiadała się na ten temat bardzo publicznie związek z MGMjak podaje jej strona internetowa, współpracuje z tą firmą z branży hotelarsko-gastronomicznej nad zapewnieniem „elementów składowych zapewniających gościom najwyższą jakość obsługi”.

Bradbury twierdzi, że Okta będzie nadal współpracować z Caesars i MGM w zakresie reagowania i odzyskiwania danych, potwierdzając również rolę Okty w włamaniu do Caesars.

Prawdopodobna nowa fala nadużyć MSZ

Według Callie Guenther, starszej menedżerki ds. badań nad zagrożeniami w Critical Start, może to być pierwszy z nowej fali cyberataków wymierzonych w użytkowników o wysokich uprawnieniach. W końcu Okta jest już popularnym celem wśród podmiotów cyberprzestępczych.

„Okta, biorąc pod uwagę jej centralne miejsce w strategiach IAM wielu organizacji, jest naturalnie atrakcyjnym celem” – mówi Guenther. „Kluczem nie jest postrzeganie tych systemów jako wadliwych z natury, ale uznanie znaczenia solidnej higieny bezpieczeństwa, ciągłego monitorowania i szybkiego udostępniania informacji o zagrożeniach”.

Zdaniem Aarona Paintera, dyrektora generalnego Nametag, dostawcy narzędzi do cyberbezpieczeństwa dla działu pomocy technicznej, prawdziwym problemem nie jest sama Okta. Jest to raczej po prostu fakt, że MFA ma na celu identyfikację urządzeń, a nie ludzi.

„Ta luka nie jest charakterystyczna dla MGM ani Okty; to problem systemowy związany z uwierzytelnianiem wieloskładnikowym” – mówi Painter. „MSZ weryfikuje urządzenia, a nie ludzi. Brakuje bezpiecznej rejestracji i odzyskiwania – to dwa momenty, w których musisz wiedzieć, który człowiek jest uwierzytelniany. Jest to znany problem, dla którego rozwiązanie MFA nie zostało stworzone”.

To jest rozwijająca się historia.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• ChartPrime. Podnieś poziom swojej gry handlowej dzięki ChartPrime. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/okta-flaw-involved-mgm-resorts-breach-attackers-claim